1 SAP SuccessFactorsコネクタについて
Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対してセルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。
ノート:
このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイするコネクタをAOBアプリケーションと呼びます。Oracle Identity System Administrationの「コネクタの管理」オプションを使用してデプロイするコネクタをCIベース・コネクタ (コネクタ・インストーラベース・コネクタ)と呼びます。アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けするプロセスで、そのアプリケーションをユーザー情報のプロビジョニングおよびリコンシリエーションに使用できるようにします。
次の各トピックでは、SAP SuccessFactorsコネクタの概要を示します。
1.1 動作保証されているコンポーネント
SuccessFactorsコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンは次のとおりです。
表1-1 動作保証されているコンポーネント
コンポーネント | AOBアプリケーションの要件 | CIベースのコネクタの要件 |
---|---|---|
Oracle Identity ManagerまたはOracle Identity Governance |
次のいずれかのリリースを使用できます:
|
次のいずれかのリリースを使用できます。
|
Oracle Identity GovernanceまたはOracle Identity Manager JDK |
JDK 1.8以降 |
JDK 1.8以降 |
ターゲット・システム |
SAP SuccessFactors |
SAP SuccessFactors |
コネクタ・サーバー |
11.1.2.1.0以降 |
11.1.2.1.0以降 |
コネクタ・サーバーのJDK |
JDK 1.8以降 |
JDK 1.8以降 |
1.2 使用上の推奨事項
ここでは、Oracle Identity GovernanceまたはOracle Identity Managerの使用しているバージョンに応じて、デプロイおよび使用できるSAP SuccessFactorsコネクタ・バージョンに関する推奨事項について説明します。
-
Oracle Identity Governance 12c (12.2.1.3.0)を使用している場合は、このコネクタの最新バージョン12.2.1.xを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。
-
表1-1の「CIベース・コネクタの要件」列に記載されているOracle Identity Managerのいずれかのリリースを使用している場合は、SAP SuccessFactorsコネクタの11.1.xバージョンを使用します。このコネクタの12.1.xバージョンを使用する場合は、CIベース・モードでのみインストールおよび使用できます。AOBアプリケーションを使用する場合は、Oracle Identity Governanceリリース12.2.1.3.0にアップグレードする必要があります。
1.3 動作保証されている言語
コネクタでサポートされている言語は次のとおりです。
-
アラビア語
-
中国語(簡体字)
-
中国語(繁体字)
-
チェコ語
-
デンマーク語
-
オランダ語
-
英語
-
フィンランド語
-
フランス語
-
フランス語(カナダ)
-
ドイツ語
-
ギリシャ語
-
ヘブライ語
-
ハンガリー語
-
イタリア語
-
日本語
-
韓国語
-
ノルウェー語
-
ポーランド語
-
ポルトガル語
-
ポルトガル語(ブラジル)
-
ルーマニア語
-
ロシア語
-
スロバキア語
-
スペイン語
-
スウェーデン語
-
タイ語
-
トルコ語
1.4 サポートされているコネクタ操作
ここでは、ターゲット・システムに対してコネクタでサポートされている操作のリストを示します。
表1-2 サポートされているコネクタ操作
操作 | サポート |
---|---|
ユーザー管理 |
|
ユーザーの作成 |
はい |
ユーザーの更新 |
はい |
ユーザーの削除 |
はい ノート: 現行リリースでは、削除操作はターゲット・アプリケーションでサポートされていません。ユーザー削除操作をコネクタ・アプリケーションから実行すると、削除されたユーザーはターゲット・アプリケーションで無効になります。 |
ユーザーの有効化 |
はい |
ユーザーの無効化 |
はい |
接続のテスト |
はい |
グループ管理 |
ノート:グループ管理のサポートを得るには、SuccessFactors-12.2.1.3.0B以降のパッチを適用してください。 |
グループの追加 |
あり |
複数のグループの追加 |
あり |
グループの削除 |
あり |
複数のグループの削除 |
あり |
1つまたは複数のグループの割当て |
あり |
1つまたは複数のグループの削除 |
あり |
1.5 コネクタのアーキテクチャ
SuccessFactorsコネクタは、Identity Connector Framework (ICF)を使用して実装されます。
ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニングの操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。
図1-1に、SuccessFactorsコネクタのアーキテクチャを示します。
-
アイデンティティ・リコンシリエーション
アイデンティティ・リコンシリエーションは、認可とも呼ばれます。このモードのリコンシリエーション・ジョブでは、ターゲット・システムは認可ソースとして使用され、ユーザーはOracle Identity Governanceで直接作成および変更されます。リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。ICFは続いてSuccessFactorsコネクタ・バンドルで検索操作を呼び出し、続いてバンドルによりOData APIがリコンシリエーション操作のために呼び出されます。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。
ターゲット・システムからフェッチされた各ユーザー・レコードが、既存のOracle Identity Governanceユーザーと比較されます。ターゲット・システム・レコードとOracle Identity Governanceユーザーの一致が見つかった場合、ターゲット・システム・レコードに対して行われた変更内容でOracle Identity Governanceユーザー属性が更新されます。一致が見つからない場合、ターゲット・システム・レコードを使用してOracle Identity Governanceユーザーが作成されます。
-
アカウント管理
アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。
-
プロビジョニング
プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザーを作成および更新します。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがSuccessFactorsアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがプロビジョニング操作のためにターゲット・システムAPIを呼び出します。ターゲット・システムのAPIはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します。
-
ターゲット・リソースのリコンシリエーション
リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。ICFは続いてSuccessFactorsアイデンティティ・コネクタ・バンドルで検索操作を呼び出し、続いてバンドルによりターゲット・システムAPIがリコンシリエーション操作のために呼び出されます。APIはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。
ターゲット・システムからフェッチされた各レコードは、Oracle Identity GovernanceユーザーにすでにプロビジョニングされているSuccessFactorsリソースと比較されます。一致が見つかると、ターゲット・システムからSuccessFactorsレコードに対して行われた更新が、Oracle Identity GovernanceのSuccessFactorsリソースにコピーされます。一致が見つからなかった場合、レコードのユーザーIDが、各Oracle Identity GovernanceユーザーのユーザーIDと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、SuccessFactorsリソースがOracle Identity Governanceユーザーにプロビジョニングされます。
-
1.6 コネクタでサポートされるユースケース
SAP SuccessFactorsアプリケーションは、Software as a Service (SaaS)モデルを使用し、単一のプラットフォームで人事管理のライフサイクル機能を完全にサポートします。SAP SuccessFactorsアプリケーションでは、人事管理に関するデータ主導の様々な意思決定を下すことができます。SAP SuccessFactorsコネクタはOracle Identity GovernanceをSuccessFactorsアプリケーションと統合します。
SAP SuccessFactorsコネクタはサービスのプロセスを標準化し、マニュアル・タスクに代わって自動化を実装します。SuccessFactorsコネクタにより、Oracle Identity Governanceのアイデンティティ・データの管理された(ターゲット)リソースまたは認可された(信頼できる)ソースとしてSuccessFactorsを使用できます。SuccessFactorsソリューションの複数のインスタンスが、1つのコネクタ・バンドルを使用できます。
ユーザー管理および権限付与管理は、SuccessFactorsコネクタが役立つシナリオの一例です:
ユーザー管理
SAP SuccessFactorsを使用する組織は、Oracle Identity Governanceを統合して従業員のプロビジョニング操作を管理します。組織、Oracle Identity Governanceを使用してターゲット・システムで作成することによって、従業員情報を管理します(追加および更新機能)。この組織ではまた、ターゲット・システムで直接実行された従業員の更新をOracle Identity Governanceと同期させる必要があります。このようなシナリオにおいて手軽で簡単な方法は、SuccessFactorsコネクタをインストールし、ITリソースの接続情報を指定することによりターゲット・システムに対して構成することです。
SuccessFactorsコネクタを使用すると、メールID、入社日、ジョブ・レベルなど従業員の様々な属性を管理できます。
権限付与の管理
SuccessFactorsコンテキストでは、Excelスプレッドシートを使用して個々のユーザー名をグループに追加することで、静的権限グループが作成および変更されます。動的に生成される条件に基づくリストのかわりに、ユーザーの静的リストが格納されます。ユーザー情報を変更しても、グループ・メンバーは変更されません。ただし、更新されたスプレッドシートをインポートしてグループ・メンバーを再定義する必要があります。
SAP SuccessFactorsコネクタにより、組織は静的グループに対してユーザーを追加および削除できます。これは、ユーザーのリコンシリエーションによる静的グループ・メンバーシップのフェッチにも役立ちます。既存のSuccessFactorsアプリケーションを持つユーザーが、グループ・メンバーシップを管理する場合、最初に既存のSuccessFactors静的グループをOracle Identity Governanceに移行する必要があります。
操作機能に関しては、コネクタによりユーザー・リコンシリエーションおよびグループ参照リコンシリエーションが容易になります。ただし、Oracle Identity Governanceからのコネクタ・グループ・メンバーシップはSAP SuccessFactors staticグループのみに制限されます。動的グループはSuccessFactorsによって管理されますが、動的グループのREAD-ONLYリコンシリエーションはコネクタ構成の変更で可能です。
1.7 コネクタの機能
コネクタの機能には、コネクタ・サーバーのサポート、完全リコンシリエーション、増分リコンシリエーション、制限付きリコンシリエーション、およびアカウント・データへの更新のリコンシリエーションが含まれます。
表1-3 サポートされているコネクタ機能のマトリックス
機能 | AOBアプリケーション | CIベース・コネクタ |
---|---|---|
完全リコンシリエーション |
あり |
あり |
増分リコンシリエーション |
あり |
あり |
信頼できるソースのリコンシリエーションのサポート |
あり |
あり |
制限付きリコンシリエーション |
あり |
あり |
コネクタ・サーバーの使用 |
あり |
あり |
アプリケーションのクローニングまたは新しいアプリケーション・インスタンスの作成 |
あり |
あり |
アカウント・データの変換および検証 |
あり |
あり |
ユーザー・アカウント・ステータスのリコンサイル |
あり |
あり |
接続のテスト |
あり |
なし |
複数ドメインでのコネクタ操作の実行 |
あり |
あり |
リリース12.2.1.3.0Jからのページングのサポート | あり | あり |
次の各トピックでは、AOBアプリケーションの機能の詳細について説明します。
1.7.1 完全リコンシリエーションおよび増分リコンシリエーション
コネクタを作成したら、完全リコンシリエーションを実行して、ターゲット・システムに存在するすべてのユーザー・データをOracle Identity Governanceに移動できます。最初の完全リコンシリエーション実行後に、増分リコンシリエーション用にコネクタを構成できます。増分リコンシリエーションでは、前回のリコンシリエーションの実行後に追加または変更されたレコードのみがOracle Identity Governanceにフェッチされます。
ノート:
コネクタでは、ターゲット・システムにオブジェクトの作成または変更のタイムスタンプが格納される属性が含まれている場合に、増分リコンシリエーションをサポートします。1.7.2 信頼できるソースのリコンシリエーションのサポート
SuccessFactorsコネクタは、Oracle Identity Governanceへのレコードのリコンシリエーションについて信頼できるソースとして構成することができます。
1.7.3 制限付きリコンシリエーション
リコンシリエーション実行時に、Oracle Identity Governanceにフェッチされるレコードを制限またはフィルタ処理するために、リコンサイルが必要な追加または変更されたターゲット・システム・レコードのサブセットを指定できます。
ユーザー・リコンシリエーション・スケジュール済ジョブのFilter Suffix属性の値としてリコンシリエーション・フィルタを設定できます。Filter Suffix属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるAPIにフィルタを割り当てるのに役立ちます。
「コネクタに対する制限付きリコンシリエーションの実行」を参照してください。
1.7.4 コネクタ・サーバーのサポート
コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。
アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。
コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。
1.7.5 アカウント・データの変換および検証
リコンシリエーションおよびプロビジョニングの操作時にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証は、アプリケーションの作成時にGroovyスクリプトを作成することで構成できます。
詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』の属性のプロビジョニングおよびリコンシリエーションの検証と変換に関する項を参照してください。